hi
On Wed, 08 Jul 1998, maxim writes:
> по этому эксплоиту. После получения рутового шела
> человек подменил /usr/bin/login и что-то еще.
> подменил так, что даже реальный рут не смог удалить/заменить
;)))))
man chflags ;)))
для меня тоже было неожиданностью, когда оно впервые появилось ;)
$ ls -lo /usr/bin/login
-r-sr-xr-x 1 root bin schg 24576 23 июн 15:35 /usr/bin/login
btw, он такой по default-у ;)
на самом деле immune flags очень мало помогают, ибо если у человека уже
root, то ему пофиг, ну разве что он не знаком со спецификой freebsd...
по поводу "не осталось логов" и "поменяли binary", очень рекомендую ssyslog,
чтобы логи оставались и tripwire, чтобы *точно* знать, что и когда
поменялось. 5-ти разных контрольных сумм для этого предостаточно, хотя и
одного md5 вполне хватило бы...
в tripwire есть небольшая глюка под freebsd. Вот патчик, без которого вместо
даты для файла печатается (null), что нехорошо...
--- utils.c.orig Mon Jul 25 09:23:16 1994
+++ utils.c Fri Sep 26 22:54:40 1997
@@ -697,9 +697,7 @@
print_perm((uint32)statbuf.st_mode);
- (void) printf(" %-9.9s %7d %s", owner, statbuf.st_size,
- a_time + 4);
- printf(" %s\n", name);
+ (void)printf(" %-9.9s %7d %s %s\n", owner,(uint32)statbuf.st_size, a_time+4, name);
}
-- rgds, serge -- end of forwarded message --
-- С тем, что не помешает никогда, Kittle